Microsoft 365 組織では、監査ログが既定でオンになっています。 ただし、新しい Microsoft 365 organizationを設定する場合は、organizationの監査状態を確認します。 手順については、この記事の「organizationの監査状態を確認する」セクションを参照してください。
Microsoft Purview ポータルで監査を有効にすると、監査ログはユーザーと管理者のアクティビティをorganizationから記録し、180 日間自動的に保持します。 監査データの保持期間 (有効期間) は、監査ログに追加されたときに開始され、 監査ログの保持ポリシー とユーザーに割り当てられたライセンスに基づいて保持されます。
重要
Microsoft 365 Business Basic、Business Standard、Business Premium など、中小企業 (SMB) ライセンスの監査は既定では有効になっていません。 さらに、エンタープライズ ライセンスの無料試用版を使用するアンマネージド テナントでは、既定では監査が有効になっていません。 どちらの場合も、organizationの監査を手動で有効にする必要があります。
ユーザー ライセンスまたは保持ポリシーを変更すると、監査データの有効期限も変更されます。
organizationには、監査ログ データを記録して保持したくない理由が考えられます。 このような場合、グローバル管理者は、organizationの Microsoft 365 での監査を無効にすることができます。 手順については、この記事の 「監査を無効にする 」セクションを参照してください。
重要
Microsoft 365 で監査を無効にした場合、Office 365管理アクティビティ API または Microsoft Sentinel を使用して、organizationの監査データまたはログにアクセスすることはできません。 監査をオフにすると、Microsoft Purview で監査ログを検索しても結果は返されません。 Exchange Online PowerShell で Search-UnifiedAuditLog コマンドレットを実行しても、結果は返されません。
監査をオンまたはオフにする前に
監査をオンまたはオフにするには、Exchange Onlineの監査ログ ロールを割り当てる必要があります。 既定では、Exchange 管理センターの [アクセス許可] ページのコンプライアンス管理と組織管理の役割グループには、この役割があります。
- 監査ログを検索する手順については、「監査ログ を検索する」を参照してください。
- Microsoft 365 Management Activity API の詳細については、「 Microsoft 365 Management API の概要」を参照してください。
organizationの監査状態を確認する
organizationの監査が有効になっていることを確認するには、Exchange Online PowerShell で次のコマンドを実行します。
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
UnifiedAuditLogIngestionEnabled プロパティの True の値は、監査が有効になっていることを示します。
False の値は、監査が有効になっていないことを示します。
重要
PowerShell で前のコマンドExchange Online実行してください。
Get-AdminAuditLogConfig コマンドレットは Security & Compliance PowerShell でも使用できますが、監査が有効になっている場合でも、UnifiedAuditLogIngestionEnabled プロパティは常にFalseされます。
監査を有効にする
organizationに対して監査が有効になっていない場合は、Microsoft Purview ポータルで、または PowerShell Exchange Online使用して有効にします。 監査ログを検索するときに結果を返す前に、監査を有効にしてから数時間かかる場合があります。
監査を有効にするには、次の手順を実行します。
- [Microsoft Purview ポータル] にサインインします。
- [監査ソリューション] カードを選択します。 [監査ソリューション] カードが表示されない場合は、[すべてのソリューションを表示] を選択し、[コア] セクションから [監査] を選択します。
- organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。
- [ ユーザーと管理者のアクティビティの記録を開始する] バナーを選択します 。
変更が有効になるまでに最大 60 分かかる場合があります。
PowerShell を使用して監査を有効にする
次の PowerShell コマンドを実行して、監査を有効にします。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true変更が有効になるまでに最大 60 分かかる可能性があることを示すメッセージが表示されます。
監査をオフにする
PowerShell Exchange Online使用して監査をオフにします。
次の PowerShell コマンドを実行して、監査をオフにします。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseしばらくしてから、監査がオフになっていることを確認します (無効)。 次の 2 つの方法で行います。
PowerShell Exchange Onlineで、次のコマンドを実行します。
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledUnifiedAuditLogIngestionEnabled プロパティの
Falseの値は、監査がオフになっていることを示します。Microsoft Purview ポータルの [監査 ] ページに移動します。
organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。
監査状態が変更されたときの監査レコード
organizationは、監査状態の変更を監査します。 このプロセスは、監査状態に対する変更を監査します。 監査レコードは、監査がオンまたはオフのときにログに記録されます。 Exchange 管理者監査ログでこれらの監査レコードを検索できます。
監査をオンまたはオフにするときに生成される監査レコードを Exchange 管理者監査ログで検索するには、Exchange Online PowerShell で次のコマンドを実行します。
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
これらのイベントの監査レコードには、監査状態がいつ変更されたか、変更した管理者、変更に使用されたコンピューターの IP アドレスに関する情報が含まれます。 次のスクリーンショットは、organizationの監査状態の変更に対応する監査レコードを示しています。
Set-AdminAuditLogConfig の監査レコード
AuditData プロパティでUnifiedAuditLogIngestionEnabledの結果の値を探します。 この値は、Microsoft Purview ポータルで統合監査ログがオンまたはオフになったか、 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false コマンドレットを 実行して示します。
Exchange 管理者監査ログの検索の詳細については、「 Search-UnifiedAuditLog」を参照してください。